Manuel Statik Analiz — Gozi/ISFB | Tehdit: ORTA

Dosya Kimliği

SHA25654663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adı36599208287637_182387937827.vbs
Boyut2.097.979 byte (2MB VBScript)
String Sayisi1 (yoğun VBScript obfuskasyon)

Çift Sayısal VBS Adlandırma

36599208287637_182387937827.vbs
-- İki 14 ve 12 haneli sayı alt çizgi ile ayrılmış
-- Muhtemel anlamlar:
  - Telefon numaraları (0365 992 082 876 37)
  - UNIX timestamp çifti (doğrulama token)
  - Sipariş/belge ID çifti (kurban takibi)
-- 2MB VBScript: büyük obfuskated loader
-- Tek string! = VBScript içeriği yorumlanmıyor (binary değil)

ZatWDYVMlX Array Obfuskasyonu

Obfuskasyon: Sembol dizisi ile VBScript gizleme!
ZatWDYVMlX=array(r5,G2,E1,R9,X,x2,x2,X2,c4,X2,W5,K3,t1,o,l9,s2,T9,T8,I5,a3,p6,X2,R4,m...
-- "ZatWDYVMlX" = rastgele değişken adı
-- "array(r5,G2,E1,R9...)" = her element başka bir obfuskated değişken
-- r5, G2, E1, R9 = harici değişkenlere referans (0-255 arası integer olarak tanımlanmış)
-- Gozi VBS: tüm payload bu değişken şifreli dizi ile temsil ediliyor
-- Çözme: tüm değişkenler tanımlandıktan sonra array → binary → execute
-- 2MB dosya boyutu = çözme kodu + şifreli Gozi loader payload

Gozi/ISFB Hakkında

Gozi (ISFB) 2006'dan beri aktif bankacılık trojanı. Türevi/varyantları: Ursnif (2013), GozNym (2016), MAN1 (2019). VBScript dropper phase: kurumsal e-posta ile dağıtım, makro veya VBS attachment.

IOC

SHA25654663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Lure36599208287637_182387937827.vbs (çift sayısal VBS)

Gozi2 — Malware Profile

Gozi ISFB banking trojan VBScript dropper. ZatWDYVMlX array obfuskasyon. Double numeric VBS filename. 2006dan beri aktif Ursnif GozNym turevi.

Malware Type
Backdoor
Programming Language
VBScript
C2 Protocol
HTTPS
Target Systems
Küresel/Bankacılık

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — Gozi2
# SHA256 54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
goziisfb36599208287637-vbsdouble-numeric-vbs-filenamezatwdyvmlx-arrayvbs-dropperheavy-obfuscationsingle-string